Hoe een neppe vestiging het netwerk overnam: een kijkje achter de schermen van de SD-WAN-hack van UAT-8616.

SD-WAN in begrijpelijke taal: waarom deze aanval belangrijk is

In de video legt Ed Woodruff van Low Level TV uit wat hij beschouwt als de meest geavanceerde aanval die hij tot nu toe heeft onderzocht: een daadwerkelijke compromittering van Cisco SD-WAN-systemen door de dreigingsactor UAT-8616, ook bekend als Salt Typhoon.

Om de context te scheppen, legt hij eerst op een hoog niveau uit wat SD-WAN is:

• Oud model: Bedrijven met veel vestigingen vertrouwden in het verleden op private, gehuurde lijnen (T1/T3) en later op MPLS (Multi-Protocol Label Switching) om vestiging A met vestiging B te verbinden via private, niet-versleutelde netwerken.
• SD-WAN-upgrade: Software-Defined Wide Area Networks stellen vestigingen in staat om via elk type netwerk (internet, private verbindingen, enz.) te communiceren, terwijl centraal wordt bepaald hoe het verkeer wordt gerouteerd. Dit is flexibeler en maakt gebruik van encryptie en op beleid gebaseerde routering mogelijk.

Omdat SD-WAN vaak aan de rand van kritieke infrastructuur staat – zoals water- en energievoorzieningen – is de beveiliging van de controllers en beheeromgevingen van groot belang. Dat is precies wat UAT-8616 als doelwit heeft gekozen.

Wie is UAT-8616 / Salt Typhoon?

Ed baseert zijn verhaal op openbare rapporten van Cisco Talos over een Chinese dreigingsactor:

• UAT-8616, ook wel Salt Typhoon genoemd, is actief in het uitbuiten van zero-day kwetsbaarheden in rand- en netwerkapparaten.
• Hun doelwitten omvatten kritieke infrastructuursectoren in de VS en wereldwijd, met name operationele technologie (OT)-omgevingen zoals:
  • Waterleidingbedrijven
  • Energiebedrijven
  • Andere industriële en infrastructuurnetwerken

In deze campagne misbruikten ze zwakke punten in Cisco Catalyst SD-WAN-systemen om diepgaande en permanente toegang te krijgen tot bedrijfsnetwerken.

Stap 1: Het nabootsen van een vestiging via SD-WAN-peering

SD-WAN-controllers beheren veel vestigingen. Wanneer een nieuwe vestiging zich aansluit, moet deze verbinding maken met de controller en bewijzen dat deze tot de organisatie behoort. Dit gebeurt doorgaans met:

• Openbare/private sleuteluitwisseling, of
• Vooraf gedeelde symmetrische sleutels

Het idee is dat een nieuwe vestiging zegt: "Ik maak deel uit van het bedrijf; hier is het bewijs", en de controller accepteert deze in het beheer-/besturingsvlak.

Volgens het rapport van Cisco Talos dat Ed aanhaalt:

• UAT-8616 heeft een kwetsbaarheid in het SD-WAN-peeringmechanisme uitgebuit.
• De details zijn niet openbaar; er is geen proof-of-concept en de exacte cryptografische of protocolfout is niet bekend.

Wat wel bekend is uit het rapport van Talos, zoals beschreven in de video:

• De aanvallers konden een neppe vestiging in het SD-WAN-netwerk creëren.
• Deze neppe node leek op elke andere legitieme vestiging op de netwerkkaart.
• Van daaruit konden ze:
  • IP-routes adverteren
  • Netwerkverkeer injecteren en ontvangen
  • De beheer-/besturingsomgeving met beperkte rechten betreden

De eerste stap voor de aanvallers was dus om stilletjes een extra vestiging te worden – met voldoende toegang om de controllers te bereiken, maar nog niet met root-rechten.

Stap 2: Firmware-downgrade om een oude CVE te activeren

Nadat UAT-8616 als een gebruiker met beperkte rechten in het SD-WAN-netwerk was binnengedrongen, ging het over op het verhogen van de privileges. Ed benadrukt een bijzonder slim onderdeel: ze voerden een firmware-downgrade-aanval uit.

Waarom een downgrade?

• Software is (in theorie) in de loop van de tijd veiliger naarmate kwetsbaarheden worden gevonden en verholpen.
• Oudere firmware bevat vaak nog bekende, gedocumenteerde fouten – zoals CVE's uit eerdere jaren.

In dit geval wijst Ed op:

• CVE-2022-20755 – een kwetsbaarheid in de CLI (command-line interface) van Cisco SD-WAN-software.
  • Alleen toegankelijk voor een geauthenticeerde lokale gebruiker.
  • Maakt het mogelijk om root-rechten te verkrijgen.

Volgens het verhaal dat hij vertelt:

1. De aanvallers, die zich voordoen als een neppe vestiging, kregen toegang tot het beheeromgeving met beperkte rechten.
2. Ze downgradeden de doel-SD-WAN-systemen (vCenters / controllers) naar een firmwareversie die nog steeds CVE-2022-20755 bevatte.
3. Met die oudere versie konden ze de oude fout activeren om root-rechten te verkrijgen.

Ed merkt op dat dit een typische reden is waarom veel leveranciers proberen firmware-downgrades te blokkeren:

• Als een aanvaller al enige toegang heeft, geeft het vermogen om terug te gaan naar kwetsbare code hem effectief een oudere, zwakkere beveiligingsbasis om te exploiteren.

Stap 3: Padtraversering en Vshell-misbruik om root-rechten te bereiken

Om het escalatiepad uit te leggen, duikt Ed in een voorbeeld van een klassieke padtraverseringskwetsbaarheid en legt hij uit hoe de Cisco-fout werkte.

Wat is padtraversering?

Hij schetst een vereenvoudigd scenario:

• Een webtool neemt een door de gebruiker opgegeven pad en serveert een bestand van /var/www/uploads/<user_path>.
• Als de code de invoer niet controleert, kan de gebruiker ../../../../etc/passwd invoeren in plaats van een onschadelijk bestandsnaam.
• Het systeem opent dan /etc/passwd, een gevoelig bestand, hoewel dat niet de bedoeling was.

Dit is de essentie van padtraversering: het gebruik van reeksen zoals ../ om omhoog in de directoryboom te lopen en toegang te krijgen tot bestanden buiten het toegestane gebied.

Hoe dit zich verhoudt tot de Cisco SD-WAN-exploit

Volgens de kwetsbaarheidsbeschrijving die Ed samenvat:

• Het kwetsbare onderdeel was Vshell, de SD-WAN CLI-omgeving.
• Wanneer een gebruiker inlogt, maakt Vshell een configuratiebestand aan.
• Als de bestandsnaam van het configuratiebestand ongeldige tekens bevat, kan dit leiden tot een padtraverseringskwetsbaarheid.

Als een aanvaller een ongeldige bestandsnaam kan invoeren, kan hij toegang krijgen tot gevoelige bestanden op het systeem.

In dit geval kan de aanvaller toegang krijgen tot het IPC-geheimenbestand en root-rechten verkrijgen.

Samenvatting

In deze aflevering van Low Level TV legt Ed Woodruff een geavanceerde, daadwerkelijke aanval uit op Cisco SD-WAN-systemen door de dreigingsactor UAT-8616 (Salt Typhoon). De campagne combineerde:

• Een peering-/authenticatieprobleem dat de aanvallers in staat stelde om een neppe vestiging in het SD-WAN-netwerk van een bedrijf te creëren.
• Een firmware-downgrade om CVE-2022-20755 te activeren, een bekende CLI-kwetsbaarheid voor het verkrijgen van root-rechten.
• Een padtraversering in Vshell om een IPC-geheim te lekken en uiteindelijk commando's uit te voeren als root.

Het resultaat: een aanvaller met beperkte rechten, die zich voordoet als een neppe vestiging, kon volledige controle krijgen over de SD-WAN-controllers, met mogelijke gevolgen voor elke vestiging van de doelorganisatie.

De belangrijkste conclusies van Ed zijn dat de SD-WAN-firmware up-to-date moet worden gehouden, dat er gecontroleerd moet worden op onverwachte peers en gemanipuleerde gebruikersnamen, en dat hoewel veiligere talen zoals Rust helpen bij geheugenbeveiliging, ze niet automatisch cryptografische of logische ontwerptekortkomingen oplossen. De aanvalsketen die hij beschrijft, laat zien hoe gelaagde zwakke punten – peering, downgrade-mogelijkheid en CLI-fouten – kunnen samenkomen in een van de meest geavanceerde praktische aanvallen die tot nu toe zijn gezien op de infrastructuur van wide-area netwerken.